如何对通过 IPsec 隧道仅在一个方向流动的流量进行故障排除
31470
Created On 08/03/22 18:59 PM - Last Modified 02/21/24 17:26 PM
Objective
对通过 IPsec 隧道仅在一个方向流动的流量进行故障排除
Environment
- Firewall
- IPsec隧道
Procedure
- 找出哪个方向的流量已停止通过隧道。检查隧道的每一侧是否封装数据包相对开封数据包已经停止递增。 登录到每个firewall在隧道的终点并发出几次以下命令:
show vpn flow name <value> | match cap
如果封装数据包停止递增然后这表明传出流量从firewall您发出此命令的对象已停止穿越隧道。
如果开封数据包停止递增然后这表明传入流量到firewall您发出此命令的对象已停止穿越隧道。
- 比较隧道两端的隧道配置以验证匹配协议,认证算法,编码算法那本地 ip、spi 和代理 id ip一个等于远程 ip、spi 和代理 id ip另一个。 为此,在隧道每一侧的防火墙上使用以下命令:
show running tunnel flow name <value>
- 从一个本地子网的本地主机部分启动会话firewall朝向对端的对端子网的远程主机firewall. 假设第 1 步帮助您确定有问题的方向,启动 IPsec 隧道该方向的流量。 考虑一个简单的示例,如下所示:
会话是从本地主机发起的IP地址 172.17.240.10 到远程主机IP地址 172.17.241.100。
- 在两个防火墙上设置数据包捕获入门:数据包捕获.
- 使用数据包捕获和全局计数器检查是否有任何数据包丢失:
show counter global filter packet-filter yes delta yes
- 检查是否在两者上路由firewall已为专用路由传播正确配置。
test routing fib-lookup virtual-router default ip 172.17.241.100
输出PAN-FW-1 应该类似于下面看到的接口是隧道接口的地方。
-------------------------------------------------------------------------------- runtime route lookup -------------------------------------------------------------------------------- virtual-router: default destination: 172.17.241.100 result: via 172.17.241.1 interface tunnel.1, source 192.168.1.10, metric 10 --------------------------------------------------------------------------------
输出PAN-FW-2 应该类似于下面看到的接口是内部接口的地方。
-------------------------------------------------------------------------------- runtime route lookup -------------------------------------------------------------------------------- virtual-router: default destination: 172.17.241.100 result: interface ethernet1/6, source 172.17.241.1 --------------------------------------------------------------------------------
- 检查为隧道的内部和外部接口配置了哪些区域(使用输出来识别隧道的内部和外部接口)CLI在步骤 2) 以及流量的入口接口区域PAN-FW-1 和流量的出口接口PAN-FW-2. 使用下面的命令来验证哪个安全policy被感兴趣的流量击中以验证您的安全性policy规则已正确配置以允许此流量。
test security-policy-match from L3-Trust source 172.17.240.1 to L3-WAN destination 172.17.241.100 protocol 6 destination-port 443
测试安全示例-policy - 匹配命令。 - 如果NAT应该应用于交通确保适当的NAT规则是在防火墙上创建的政策 >NAT .
- 检查区域保护配置文件是否应用到两个防火墙的隧道外接口区域网络 > 区域如果是这种情况,如果基于数据包的攻击保护具有 StrictIP在下面检查该区域配置文件的地址网络 > 网络配置文件 > 区域保护. 在这种情况下,请测试禁用该检查并提交该更改以查看是否可以解决问题。
- 如果以上都不能解决您的问题,请参阅资源列表:IPSec 配置和故障排除或联系我们的技术支持团队。
Additional Information
注 1:如果您运行的是第 9 步,则适用PAN-OS版本(9.1.12 和 9.1.13)受PAN-186937. 此问题已在 9.1.13-h1 和 9.1.14 中修复。